wanacrypt勒索软件如何工作?
目录:
Wanacrypt具有类似蠕虫的功能 ,这意味着它试图在网络上传播。 为此,它使用Eternalblue漏洞(MS17-010) ,目的是传播到未修补此漏洞的所有计算机。
内容索引
Wanacrypt勒索软件如何工作?
引起这种勒索软件注意的是,它不仅在受影响机器的局域网内搜索,而且还继续扫描互联网上的公共IP地址。
所有这些操作均由ramsonware在执行后自行安装的服务执行。 安装并执行该服务后,将创建2个线程,这些线程负责向其他系统的复制过程。
在分析中,该领域的专家已经观察到它如何使用与NSA完全相同的代码。 唯一的区别是,他们无需使用DoublePulsar漏洞,因为他们的目的只是将自己注入LSASS(本地安全机构子系统服务)流程中。
对于那些不知道LSASS是什么的人,正是使Windows安全协议正常工作的过程,因此应始终执行此过程。 众所周知,EternalBlue有效负载代码尚未更改。
如果与现有分析进行比较,您会发现操作码与操作码的相同性……
什么是操作码?
操作码或操作码是机器语言指令的片段,用于指定要执行的操作。
我们继续…
然后,该勒索软件执行相同的函数调用,以最终注入在LSASS进程中发送的.dll库,并执行其“ PlayGame”函数,通过它们它们在受攻击的计算机上再次启动感染过程。
通过使用内核代码利用,恶意软件执行的所有操作都具有系统或系统特权。
在开始对计算机进行加密之前,勒索软件会验证系统中是否存在两个互斥体 。 互斥锁是一种互斥算法,可以防止程序中的两个进程访问其关键部分(这是一段可以修改共享资源的代码)。
如果存在这两个互斥锁,则不会执行任何加密:
'全局\ MsWinZonesCacheCounterMutexA'
'全局\ MsWinZonesCacheCounterMutexW'
勒索软件本身会为每个加密文件生成一个唯一的随机密钥 。 该密钥为128位,并使用AES加密算法 ,该密钥通过自定义标头中的公共RSA密钥进行加密,勒索软件将其添加到所有加密文件中。
仅当您具有与用于加密文件中使用的AES密钥的公共密钥相对应的RSA私有密钥时,才可以解密文件。
AES随机密钥是通过Windows函数“ CryptGenRandom”生成的,当前它不包含任何已知的漏洞或弱点,因此当前无法开发任何工具来解密这些文件,而无需知道攻击期间使用的RSA私钥。
Wanacrypt勒索软件如何工作?
为了执行所有此过程,勒索软件在计算机上创建了多个执行线程,并开始执行以下过程以对文档进行加密:
- 读取原始文件并通过添加扩展名.wnryt进行复制创建一个随机的AES 128密钥加密使用AESA复制的文件添加带有该密钥的头AES使用该密钥进行加密
发布带有样本的RSA,并使用此加密副本覆盖原始文件,最后使用扩展名.wnry重命名原始文件。对于勒索软件已完成加密的每个目录,它都会生成相同的两个文件:
@ Please_Read_Me @.txt
@ WanaDecryptor @.exe
我们建议您阅读在Windows 10中使用Windows Defender的主要原因 。
